7 replies to this topic

[Darksky]

Hello,

Kaspersky a découvert un nouveau rootkit destiné à Linux.

Besé sur une architecture 64 Bits, il serait principalement destiné au serveurs web.

Le rootkit ferait en effet appel, une fois installé, à un serveur distant afin d'injecter des Iframes ou du javascript au sein des sites web, pour toucher ensuite un maximum de monde.

Après analyse, il s'agirait bien d'un nouveau rootkit, et non d'une variante basée sur un rootkit déjà existant.

Source: http://www.clubic.co...tkit-linux.html
Source en anglais, analyse de Kaspersky: https://threatpost.c...-emerges-112012
Liste où est apparu le rootkit: http://seclists.org/...ure/2012/Nov/94

[Txon]

Salut !


Linux commence à avoir du succès et donc à être attaqué. Il faut cependant tempérer les choses.

.. Les équipes de développement sont beaucoup plus "réactives" que celles de Microsoft ou de Apple et les failles de sécurité sont généralement beaucoup plus vite comblées.

.. Il existe des antivirus et des antirootkits très performants sous Linux.

A chacun d'effectuer toutes les mises à jour proposées et de s'équiper d'outils de protection.

 

@+

[noisette]

Beaucoup de serveurs web sont sous Linux, une très grande majorité,

on peut craindre également qu'une partie d'entre eux n'est pas entre les mains d'experts en sécurité informatique en 24/24.


A ce titre, il est probable à mon avis que les serveurs web sous Linux seront plus attaqués que les autres, à l'avenir, pour ce type d'infections, qui cherchent non à nuire au serveur, au contraire, mais à l'utiliser pour se répandre et nuire aux visiteurs.

[Txon]

Beaucoup de serveurs web sont sous Linux, une très grande majorité,

Oups ! C'est vrai que celui-ci s'attaque aux serveurs !

on peut craindre également qu'une partie d'entre eux n'est pas entre les mains d'experts en sécurité informatique en 24/24.

C'est vrai aussi mais dans ma région je constate que les serveurs sous Linux sont le plus souvent entre de bonnes mains, assez bien actualisés/protégés/surveillés (en automatique, avec même des alertes envoyées sur téléphones portables). Cependant, rien n'est parfaitement imperméable.
Les serveurs que je connais et qui sont sous Windows sont plus souvent pilotés par des saguoins (ou blaireaux; comme vous voudrez).

A ce titre, il est probable à mon avis que les serveurs web sous Linux seront plus attaqués que les autres, à l'avenir, pour ce type d'infections, qui cherchent non à nuire au serveur, au contraire, mais à l'utiliser pour se répandre et nuire aux visiteurs.

Qu'il s'agisse de serveurs sous Linux ou autres, il y a surtout trois types d'attaques :
.. Celles qui ont pour objectif de ''casser" le serveur (cyberguerre, activisme etc.)
.. Le "pillage" des informations contenues dans les serveurs (activisme, cyberguerre, espionnage industriel etc.)
.. Les attaques indirectes vers les "clients" de ces serveurs. Il faut alors savoir si les attaques finales sont destinées à des utilisateurs de Windows, de Mac OS X, de Linux ou peut-être des trois.
Les deux premiers cas vont très bien ensemble, sauf pour l'espionnage industriel qui doit rester discret.

Pour les attaques indirectes, la discrétion est également de mise. Les ''rootkits" viennent du monde Unix/Linux. L'expérience en la matière est incontestable. La détection aussi. Les outils disponibles sont vraiment performants. Leur principal problème est qu'ils ne sont pas facilement compréhensibles pour des débutants.

@+

[lolo32]

de tout façon celui qui est sous linux et qui prend aucune protection est pour moi un irresponsable!

pleins de protections gratuites son la : ex comodo fait une version sous linux vraiment sympa! et gratuite alors installer le !! et s'est très simple sous ubuntu et autre! il suffit de cliquer sur le fichier télécharger !!!

http://www.comodo.co...s-for-linux.php

une protection sous linux on se protège mais aussi on évite de favorisé la pénétration de vilaine virus....

Ce message a été modifié par lolo32 - 23 novembre 2012 - 09:00 .

[Txon]

pleins de protections gratuites son la : ex comodo fait une version sous linux vraiment sympa! et gratuite alors installer le !! et s'est très simple sous ubuntu et autre! il suffit de cliquer sur le fichier télécharger !!!
http://www.comodo.co...s-for-linux.php

C'est sans doute très bien pour un poste "client" (utilisateur ordinaire) et encore vaut-il mieux rajouter d'autres outils de surveillance.
C'est très insuffisant pour le contrôle/protection d'un réseau/serveur. Pour ça il y a des outils plus "pros" : SNORT, OSSEC etc.

@+

[Th-Crown]

pleins de protections gratuites son la : ex comodo fait une version sous linux vraiment sympa! et gratuite alors installer le !! et s'est très simple sous ubuntu et autre! il suffit de cliquer sur le fichier télécharger !!!
http://www.comodo.co...s-for-linux.php

C'est sans doute très bien pour un poste "client" (utilisateur ordinaire) et encore vaut-il mieux rajouter d'autres outils de surveillance.
C'est très insuffisant pour le contrôle/protection d'un réseau/serveur. Pour ça il y a des outils plus "pros" : SNORT, OSSEC etc.

@+

Peux-tu nous en dire un plus sur ces outils plus "pros" ?

[Txon]

Peux-tu nous en dire un plus sur ces outils plus "pros" ?

Certains sont mentionnés -> ICI (surtout paragraphes[e] et [g])
Pour tout ce qui concerne un serveur sous Ubuntu, voir : Ubuntu Server Guide.

@+